اُكتشفت ثغرتين أمنيتين من نوع XSS في الجيل الرابع من برنامج المنتديات الشهير Vbulletin .
الثغرة الأولى اُكتشفت بتاريخ 23/03/2010 داخل الملف الخاص بالبحث داخل المنتدى search.php
ونشرت الرقعة الأمنية في موقع البرنامج الرسمي هنا .
أما بالنسبة للثغرة الثانية اُكتشفت بتاريخ 25/03/2010 داخل خاصية المدونات Blogs الموجودة بالاصدار الجديد
الثغرة توجد في صندوق عنوان التدوينة (Title Box) تمكن المهاجم من اضافة تدوينة تحتوى على اكواد ضارة .
الجدير بالذكر ان ثغرات الـ XSS او الـ Cross-site scripting خطيرة نسبياً وتشكل تهديد أمني صريح
أما بالنسبة للحلول الأمنية حالياً التأكد من وضع جدار ناري على المجلد الخاص بالمدير والمشرفين بالبرنامج او الترقية لى النسخة 4.0.3 .
للأطلاع على الثغرات :
Vbulletin Blog 4.0.2 XSS Vulnerability
Vbulletin 4.0.2 XSS Vulnerability
هل تعتقد معي ان الشركات الكبرى بمجال تطبيقات الويب لم تعد تهتم بالحماية من ثغرات الـ XSS
رد مع اقتباس
مواقع النشر (المفضلة)